167期恶意代码信息
内容提要:经安天检测分析,本周有 8 个移动平台恶意代码和 6 个 PC 平台的恶意代码和漏洞值得关注
平台分类 | 关注方面 | 名称与发现时间 | 相关描述 |
移动恶意代码 |
新出现的样本家族 | Trojan/Android.mestheft.a[prv,rmt,spy] 2018-12-29 | 该应用程序伪装系统服务,运行后请求 root 权限,接收远程控制命令,窃取用户短信、 联系人、地理位置、手机文件及手机各项基本信息,监听用户通话,私自拍照、录音、 录像,记录用户键盘录入和截屏信息。并将用户隐私上传至服务器,造成用户隐私泄露, 建议卸载。(威胁等级中) |
Trojan/Android.by1cspy.a[prv,exp,spy] 2018-12-30 | 该应用程序伪装系统应用,运行后会获取 root 权限,接收远程指令,锁屏勒索。私自下 载安装 apk,模拟点击支付,通过模拟点击窃取用户 QQ、微信和转账支付等信息。窃 取用户短信、通讯录、手机号码,获取相机权限,拍摄照片视频,私自发送短信,造成 严重的隐私泄露和资金损失,建议立即卸载。(威胁等级高) | ||
Trojan/AndroidSMSReconSpya[prv,exp,rmt,py] 2018-12-31 | 该应用程序伪装正常应用,实际是重打包间谍工具,会接收指令,上传用户录音、照片、 信箱、通讯录、位置等隐私信息,删除存储文件、修改手机设置,会造成用户隐私泄露, 影响用户正常使用,建议立即卸载。(威胁等级高) | ||
较为活跃样本 | Trojan/Android.BKspy.c[prv] | 该应用程序伪装热门应用,无实际功能,拦截短信,后台通过发送邮件的方式私自窃取 用户短信、联系人信息,造成用户隐私泄露,建议卸载。(威胁等级低) | |
RiskWare/Android.KingkrProgram.a[exp] | 该类应用程序是在线生成的,大多是色情、博彩、代刷代挂、刷赞类应用,存在一定的 风险,请谨慎使用。(威胁等级低) | ||
RiskWare/Android.tcFuzhu.a[rog] | 该应用程序通过工具生成,运行后会请求 root 权限,可能存在风险,请用户谨慎使用。 (威胁等级低) | ||
Trojan/Android.MTruss.b[pay] | 该应用程序运行后会私自发送短信到指定号码,短信内容为用户手机固件信息,造成用 户资费损耗,建议卸载。(威胁等级中) | ||
Trojan/Android.inspicySms.a[exp,prv] | 该应用程序伪装病毒清理应用,运行后激活设备管理器权限,窃取用户手机 SIM 卡信息、 型号、运营商、ID 号、手机固件信息、手机软件安装信息,联网获取短信数据,私自 发送短信,@ 造成用户资费消耗和隐私泄露,建议立即卸载。(威胁等级高) | ||
PC平台恶意代码 | 活跃的格式文档漏洞、0day漏洞 | Windows 权 限 提 升 漏 洞(CVE-2018-8641) | 当 Windows 内核无法正确处理内存中的对象时,可能会触发该漏洞。攻击者首先必须 登录到系统,然后运行一个经特殊设计的应用程序,才能利用此漏洞。成功利用漏洞的 攻击者可以在内核模式中运行任意代码。攻击者可任意安装程序,查看、更改或删除数 据,或者创建新帐户等。(威胁等级高) |
较为活跃样本 | Trojan[Rootkit]/Boot.Sinowal | 此威胁是一种可以窃取用户信息的木马家族。该家族具有 rootkit 功能,可以修改 MBR 并在系统内核运行之前加载,难以被发现和清除。(威胁等级高) | |
GrayWare[AdWare]/Win32.CrossRider | 此威胁是一种有广告行为的灰色软件类程序。该家族有安装捆绑软件、修改浏览器主页 和默认搜索引擎等恶意的行为。(威胁等级低) | ||
Trojan[Downloader]/JS.Twetti | 此威胁是一种使用 JS 脚本编写的可以下载其他恶意代码的木马家族。该木马家族会向 Twitter 的 API 发送请求,利用其接收到的数据生成随机名称的域名。感染者会被重定 向到这些域名。攻击者注册此域名,然后将恶意程序放置在这些网站上,用来感染更多 计算机。(威胁等级中) | ||
Trojan/Win32.Lunam | 此威胁是一种木马类程序。该家族运行在 32 位平台下,会在受感染计算机的指定目录 下复制自身,导入注册表。会收集用户信息并可以感染移动设备。(威胁等级中) | ||
Trojan[Backdoor]/Win32.Spammy | 此威胁是一种可以窃取用户信息的木马家族。该家族运行后会搜索感染者电脑 Outlook 通讯录中的联系人列表和互联网资源管理器缓存文件中的电子邮件地址,并将收集到的 信息发送至黑客指定的服务器。该病毒家族还会读取黑客预先放置在远程服务器上的文 件,并按照该文件内容,向感染者的联系人发送垃圾邮件。(威胁等级中) |